《电子政务基于安全核心及多标准融合的管理体系的建设方式.docx》由会员分享,可在线阅读,更多相关《电子政务基于安全核心及多标准融合的管理体系的建设方式.docx(3页珍藏版)》请在三一文库上搜索。
1、电子政务基于安全核心及多标准融合的管理体系的建设方式对标准综合分析后可以得出以下结论:1)等级保护与ISO27000虽然在强制性要求、实施对象范围、具体做法上存在不少差异,但二者同属信息安全的专门标准,目标一致,共通性最强,也最容易整合。一般体系参照ISO27000,而具体措施要求参照等级保护;2)ISO27000与ISO20000在事件、业务连续性等管理方面有较大的共通性,在能力、变更、发布、供应商、问题管理等方面也存在许多交叉点;3)ISO27000在风险评估、最佳控制实践、全面安全管理等方面有优势。等级保护较符合中国行政管理习惯,各级要求明确具体,在重点保护原则、容易参照执行等方面有长处
2、。【3】但在系统性方面与ISO体系有一定差距;4)CMMI的项目计划、变更管理、配置管理、组织培训、风险管理等过程域与信息安全、运维管理的标准有很多相关、交叉的要求;5)ISO27000、等级保护在规划、建设阶段仅限于安全方面要求。CMMI虽是针对软件开发的一个标准,但模型要求的通用实践对信息系统各阶段管理均具有较强的参考价值,可以弥补规划、建设这二个阶段中其它三个标准的不足。表1四个标准面向信息系统某一领域的特定管理,采用的系统化理论、过程化方法存在大量共通性、相融性,是可以融合在一起的。电子政务是我国信息化应用中比较成功的领域之一,业务需求实、系统投入大、应用基础好、监管力度强,从电子政务
3、开始推动多标准融合、高起点的系统管理,是现实可行的。(三)标准融合的必要性系统管理涉及信息系统的全生命周期,是以安全为核心多目标的任务。各标准着眼于某一专业领域或某一特定阶段,单一采用某标准均不能完全覆盖系统管理的全部。部分单位建立了基于多个标准的、相互独立的管理制度,则有可能会造成制度之间的重复问题,执行人员面对繁多流程难于掌握与执行,表单的重复填写与多重审批,不仅增加工作量,也严重降低工作效率。因此,融合各标准的优点,建立一套系统、规范、实用的电子政务管理体系是十分必要的。基于安全核心及多标准融合的电子政务管理体系构建在政府部门、大型事业单位的信息安全、运维管理咨询的实践基础上,我们总结了
4、电子政务管理体系构建的一些经验,与大家分享探讨。(四)多标准融合四原则电子政务系统管理多标准融合应遵循以下原则:1)系统性原则:以系统工程思想为指导,建设以安全为核心的信息系统管理体系。体系应覆盖规划、建设、运行、废止全生命周期,管理对象应包括信息系统相关的全部信息资产;2)实用性原则:整合各标准的体例、分类、术语、方法,摒弃标准中过于学术化与抽象的描述,统一规划、简单明了,保证体系获得明确、快捷的理解与执行。在兼顾标准要求基础上,具体措施应结合单位实际情况,吸纳已有成功做法;3)灵活性原则:针对不同的信息系统规模、等保备案级别,使用中可以进行灵活、便捷的裁减。4)合规性原则:管理体系运行结果
5、可以同时通过政府信息安全主管部门、体系外审机构的测评、审核等要求。(五)四级五类的体系融合方案在研究及大量实践的基础上,我们提出了电子政务管理体系四级五类的融合方案。按层次关系划分为四级文件:1)一级文件-制度总则:规定了系统管理的范围、方针和目标,原则、方法及职责,主要管理过程综述。2)二级文件-管理制度:具体规定各个方面的管理要求;3)三级文件-规范文档:对制度的细化与明确,包括技术规范、SOP、方法、细则等;4)四级文件-记录模板:包括表单、报告等模板。按类别属性划分为A-E五大类制度:A)制度总则类:制度总则及其下级文档,包括组织架构、体系负责人任命、安全区域示意图等;B)系统管理综合
6、类:各阶段共通的管理要求,如文件记录、人力资源、配置、变更、事件、问题、合规性等方面;C)信息系统建设类:信息系统建设阶段相关管理文件,主要制度是项目建设管理制度,涉及立项、采购、建设、试运行、验收等。由于软件开发的特殊性,可参考CMMI专门建立软件开发涉及的需求、设计、测试、试运行等阶段的专门要求;D)信息系统运维类:信息系统运维到终止阶段相关管理文件,主要参考ISO20000及信息安全相关要求,如信息资产、持续性可用性、业务关系、供应商、预算及考核,以及物理、网络、主机、应用、数据的安全要求;E)信息安全专项:信息安全专门的管理文件,包括信息安全风险评估、信息安全等级等。(六)体系建设过程
7、中注意要点在制度的具体制订、实施、检查、审核过程中,应特别注意以下要点:1)管理意识培育:应通过宣传、培训、考核等方式,树立单位全员人员对系统管理的正确认识。【4】例如:领导层要认识到对系统管理工作的资源保障、监督管理的责任;全体人员要意识到保障信息系统安全可靠人人有责;2)人性化落地措施:管理体系本身复杂又专业性强,但涉及全体人员的要求并不多,可专门整合成册并人手一本,如能通俗化图画化则更佳。还可以采用上墙告示、目视化管理等方式,提高体系落地的有效性;3)应用于外包管理:系统管理工作外包后,相应管理制度应成为对外包人员的要求;4)软件工具的作用:软件工具可以使体系实施中减少工作量、固化流程、强化监督、提高效率。ISO20000相关的运维工具,只要增加规划、建设阶段的审核流程,就能满足体系的大多数管理需求。参考文献【1】 李长征.中国电子政务运维管理现状与发展趋势(J),电子政务,2008年,第12期,19-20【2】 高用成.对海关信息系统运维管理工作的思考(A),信息科技,2010年,第21期,215-215【3】 王闪闪.ISO27000与等级保护系列标准对比研究(D),陕西师范大学硕士学位论文,2010-06,41-45